Package: unhide (20220611-1)

strumento forense per trovare porte e processi nascosti

Unhide è uno strumento forense per cercare porte TCP/UDP e processi nascosti tramite rootkit, moduli del kernel Linux o da altre tecnologie. Include due utilità: unhide e unhide-tcp.

unhide individua processi nascosti usando i seguenti sei metodi:

 * confronto tra /proc con l'output di /bin/ps;
 * confronto tra le informazioni raccolte da /bin/ps e quelle ottenute
   percorrendo il procfs;
 * confronto tra le informazioni raccolte da /bin/ps e quelle ottenute
   dalle chiamate di sistema (scansione syscall);
 * scansione completa dell'occupazione dello spazio dei PID (forza bruta
   dei PID);
 * ricerca all'indietro, verificare che tutti i thread visti da ps siano
   visti anche dal kernel (output di /bin/ps rispetto a /proc, analisi di
   procfs e chiamate di sistema);
 * confronto veloce di /proc, analisi di procfs e chiamate di sistema con
   l'output di /bin/ps.

unhide-tcp identifica porte TCP/UDP che sono in ascolto, ma non sono elencate in /bin/netstat, tramite un metodo di forza bruta su tutte le porte TCP/UDP disponibili.

Questo pacchetto può essere usato da rkhunter durante le sue scansioni giornaliere.

Questo pacchetto è utile per controlli di sicurezza della rete, oltre che per indagini forensi.

Tags: Implemented in: C, User Interface: Command Line, Role: role::program, scope::utility, Security: Forensics, Intrusion Detection

This page is also available in the following languages (How to set the default document language):